Offentliga myndigheters tillgång till personuppgifter

En av anledningarna till att Safe Harbor och Privacy Shield ogiltigförklarades handlade om det faktum att offentliga myndigheter med stöd av amerikansk lag hade åtkomst till personuppgifter på ett sätt som inte var begränsat till vad som var strikt nödvändigt. Det är därmed av intresse att undersöka hur brittisk

194 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 105.

195 Ibid. skäl 106.

196 Ibid. skäl 107.

197 Ibid. skäl 108.

198 Ibid. skäl 109.

199 Ibid. skäl 111.

lagstiftning reglerar tillgång till personuppgifter och på vilka villkor det får ske. Kommissionen har undersökt regleringen utifrån två huvudsakliga områden: myndigheters tillgång till uppgifter för brottsbekämpande syften samt för syften sammankopplade med den nationella säkerheten.

Som tidigare nämnts reglerar Storbritannien personuppgiftsbehandling för brottsbekämpande myndigheter samt underrättelsetjänster i DPA 2018. Enligt DPA 2018 får personuppgiftsbehandling för sådana syften endast ske när det finns lagstöd för behandlingen och den registrerade antingen har gett sitt samtycke till behandlingen eller behandlingen är nödvändig för att en brottsbekämpande myndighet ska kunna utföra sina uppgifter.²⁰⁰

Brottsbekämpande myndigheter i Storbritannien kan samla in data från affärsverksamheter antingen genom en husrannsakningsorder eller en begäran om utlämnande av uppgifter. I båda fallen behövs tillstånd utfärdade av domstol. Omfattningen av en husrannsakningsorder styrs av vad domstolen har beslutat om, och ska utgå från vad som är relevant för syftet med utredningen. Vid en begäran av utlämnande av material ska den sökande myndigheten uppge varför utlämnandet är nödvändigt i förhållande till det allmänna intresset.²⁰¹ En begäran om personuppgiftsbehandling av en brottsbekämpande myndighet ska ske i enlighet med de krav som följer av DPA 2018, och måste därför följa av ett ändamål som är legitimt, tydligt och specificerat och inte går utöver vad som är nödvändigt.²⁰²

I syfte att förhindra eller upptäcka vissa allvarligare brott, har somliga myndigheter befogenhet att använda sig av så kallad riktad övervakning eller avlyssning enligt den brittiska Investigatory Powers Act 2016. Lagen tillhandahåller mekanismer som möjliggör avlyssning av innehållet i kommunikationsdata samt anskaffning och lagring av data som ger information om en viss kommunikation, så som vem, var och när någon har

200 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 132.

201 Ibid. skäl 134.

202 Ibid. skäl 135.

kommunicerat. För att få använda sig av dessa verktyg behöver den brottsbekämpande myndigheten ansöka om tillstånd. Ett sådant tillstånd kommer till stånd genom en ”double-lock procedure”, där ansökan först behöver godkännas av ansvarig minister och sedan även av en ”Judicial Commissioner”²⁰³.²⁰⁴ Båda instanserna har att pröva om åtgärden är nödvändig och proportionerlig i förhållande till syftet.²⁰⁵

Rätten att samla in data från behandlare av personuppgifter i syfte att skydda den nationella säkerheten är i Storbritannien förbehållen underrättelsetjänsterna. Den grupp som anses relevant för adekvansbeslutet utgörs av the Security Service (MI5), the Secret Intelligence Service (SIS) samt the Government Communications Headquarters (GCHQ).²⁰⁶

Likt de brottsbekämpande myndigheterna, har även myndigheter för nationell säkerhet och underrättelsetjänster möjlighet att bruka de mekanismer för datainsamling som tillhandahålls genom IPA 2016.²⁰⁷ Även i detta sammanhang får verktygen användas först efter att ha bedömts och godkänts av ansvarig minister och en rättslig kommissionär. IPA 2016 har kompletterats med uppförandekoder som har utfärdats av inrikesministern samt godkänts av parlamentet. Uppförandekoderna anger under vilka förutsättningar som datainsamlingsverktygen får och bör användas.²⁰⁸ En ansökan ska endast godkännas om den föreslagna åtgärden är proportionerlig i förhållande till vad den ämnar att uppnå. En avvägning måste således göras mellan integritetsingreppet och ändamålet. Bedömningen ska också se till varför den valda metoden är den som orsakar minsta möjliga ingrepp, varför

203 ”Judicial Commissioners” är en funktion inom myndigheten IPC, en myndighet som har till uppgift att bevaka underrättelsetjänsternas verksamhet.

204 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 139.

205 Ibid. skäl 139.

206 Ibid. skäl 172.

207 Ibid. skäl 174.

208 Ibid. skäl 176.

andra metoder är otillräckliga och om den är i linje med hur lagen är tänkt att verkställas.²⁰⁹

IPA 2016 tillhandahåller också möjligheten att samla in uppgifter i bulk.

Mekanismen är förbehållen underrättelsetjänsterna. Det finns ingen tydlig definition av vad bulkinsamling är i lagen, men regeringen har själv beskrivit det som en metod för att samla in och lagra större mängder av data. En oberoende granskare av lagen har också uttryckt att begreppet inte är att likställa med massövervakning, då verktyget är omgärdat av begränsningar och skyddsåtgärder som ska säkerställa att data inte kan samlas in på obefogade eller diskriminerande grunder.²¹⁰

Att samla in data i bulk kan göras på flera olika sätt. Vid val av metod ska hänsyn tas till huruvida ändamålet kan uppnås med mindre inkräktande medel. Detta följer av att lagstiftningen bygger på proportionalitetsprincipen och innebär att riktad insamling ska prioriteras över bulkinsamling.²¹¹

I syfte att skydda den nationella säkerheten har underrättelsetjänsterna möjlighet att använda sig av bulkavlyssning. Sådan avlyssning är begränsad till att omfatta kommunikation som tas emot eller skickas av personer som befinner sig utanför de brittiska öarna.²¹² För att få tillstånd att utföra en sådan åtgärd krävs att det finns en koppling mellan föremålen för avlyssning och syftet med åtgärden, som till exempel att skydda den nationella säkerheten eller att bekämpa eller upptäcka allvarliga brott.²¹³ Syftet med åtgärden ska också styra hur urvalet av data som ska undersökas sker.²¹⁴ Innan en ansökan godkänns, måste det göras en bedömning av om åtgärden står i proportion till

209 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 179.

210 Ibid. skäl 211.

211 Ibid. skäl 212.

212 Ibid. skäl 214.

213 Ibid. skäl 215.

214 Ibid. skäl 217.

det eftersträvade syftet. Om en annan metod som inkräktar mindre på integritet och privatliv kan användas, ska ansökan inte godkännas.²¹⁵

Om ett tillstånd att utföra bulkavlyssning utfärdas, finns det ett antal begränsningar att förhålla sig till. För det första är bemyndigandet endast giltigt i sex månader. Vid ändringar av ansökan eller förnyelse behöver ansökan prövas igen.²¹⁶ För det andra måste kopior av det material som samlats in hanteras och lagras på ett säkert sätt, och när materialet inte längre är relevant ska det förstöras. Antalet personer som omfattas av avlyssningen ska också begränsas till vad som är nödvändigt för att uppnå de i lagen angivna syftena.²¹⁷ Slutligen ska valet av vilken data som väljs ut för vidare undersökning också genomgå en proportionalitetsprövning. När data har samlats in sker först en automatisk filtrering med syftet att rensa ut de uppgifter som inte är av intresse för myndigheterna. Därefter väljs den data ut som är relevant för de syften som uppgetts och godkänts i ansökan.²¹⁸

Kommissionen gör en bedömning av Storbritanniens reglering av myndigheters möjligheter att föra vidare insamlade uppgifter. Av särskilt intresse är den utredning som görs gällande Storbritanniens möjligheter och skyldigheter att lämna ut data till tredjeland och i synnerhet USA.

Bedömningen görs mot bakgrund av den amerikanska lagen CLOUD Act som i sin tur möjliggör verkställande avtal med andra länder. Avtalet mellan USA och Storbritannien, som dock ännu inte trätt i kraft, kan få följden att data hos brittiska tjänsteleverantörer blir föremål för krav på utlämning till amerikanska brottsbekämpningsmyndigheter.²¹⁹

Kommissionen framhåller de villkor som ställs för att sådan utlämning ska bli aktuell. Till exempel är det endast data kopplad till vissa allvarligare brottsutredningar som komma att bli föremål för utlämning, och varje beslut

215 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 218.

216 Ibid. skäl 221.

217 Ibid. skäl 222.

218 Ibid. skäl 223.

219 Ibid. skäl 151.

om utlämning av uppgifter ska vara föremål för granskning och tillsyn av en oberoende entitet så som en domstol, domare eller annan självständig myndighet.²²⁰ Enligt kommissionen ska också data som lämnas ut under avtalet skyddas av skyddsåtgärder liknande sådana som tillhandahålls i ett motsvarande avtal mellan EU och USA i dagsläget. Detta har den brittiska regeringen bekräftat, samtidigt som den också uppger att diskussionerna kring detaljerna för skyddsåtgärderna fortfarande pågår. Kommissionen uttrycker att utvecklingen kring avtalet, dess innehåll och eventuella skyddsåtgärder är av hög relevans för adekvansbeslutet och därför bör övervakas noga framöver.²²¹

Vad gäller tillsyn av offentliga myndigheters personuppgiftsbehandling, är ett antal olika organ inblandade, beroende av vilken lag som utgör grund för behandlingen. All behandling av data som sker på basis av DPA 2018 faller inom IC:s granskningsområde. Brottsbekämpande myndigheters och nationella säkerhetstjänsters utredningsbefogenheter som följer av IPA 2016 granskas av en Investigatory Powers Commissioner och tillhörande myndighet, Investigatory Powers Commissioner’s Office. Verksamheten hos säkerhets- och underrättelsetjänster är också föremål för tillsyn av en kommitté för underrättelse- och säkerhetsfrågor²²² under parlamentet.

Det finns flera tillgängliga rättsmedel för en registrerad som vill klaga på databehandling som utförts av brottsbekämpande myndigheter eller nationella säkerhets- eller underrättelsetjänster. För mål som rör behandling utförd mot bakgrund av IPA 2016 har Storbritannien inrättat en särskild domstol, Investigatory Powers Tribunal. Domstolen har i praxis erkänts av Europadomstolen.²²³

220 Se EU-kommissionens utkast till beslut om adekvat skyddsnivå för Storbritannien, skäl 152.

221 Ibid. skäl 153.

222 The Intelligence and Security Committe (ISC).

223 Se Big Brother Watch and others v. United Kingdom, no. 58170/13, 62322/14, 24960/15, ECHR 2006-XI.